电脑中了　autorun.inf　　　每个分区下多了　autorun.inf，和sxs.exe　２个文件　瑞星２００７ 19.01.01 查不出来  手动删了 硬盘上的几个病毒文件 注册表也删了  可一重起后  就又有了....该怎么搞啊?????????????????K¯ÀOý>˜Óbbs.ikaka.comÎÞÌkpÖÆýQ

而且现在 安装新的杀毒软件也装不了  会被自动关掉K¯ÀOý>˜Óbbs.ikaka.comÎÞÌkpÖÆýQ

呵呵，这个是个老病毒了！你先看看是不是在你的硬盘或者可移动磁盘的右键菜单上回出现一个“auto”的东东？？如果是这个病毒的话，杀掉的办法应该是比较简单的！我也曾受害！不过按照下面说的运行命令提示符的方法就轻松搞定了！具体转帖如下：
  多病毒都可以通过U盘传播，传播方法就是在U盘下面产生一个病毒文件，和一个autorun.inf文件，两文件同时有只读、系统、隐藏属性，所以一般看不出来，当用户双击打开U盘，系统就会自动找到autorun.inf，并且按照代码运行病毒文件，常见的病毒就是worm.vb系列等等

检查方法：
第一种方法：打开U盘用右键察看有无自动运行或者auto这个按钮

第二种方法：用资源管理器在左边按U盘盘符 察看是否有隐藏的autorun.inf（需要打开属性）

第三种方法：最保险的方法，运行命令提示符（开始—程序—附件—命令提示符）
输入以下命令

dir U盘盘符:\ /a
检查显示的所有文件中有没有autorun.inf或者autorun.*文件

删除方法：
在windows系统中，不触发病毒运行的情况下删除文件（前两种检查方法都不触发病毒运行）

用命令提示符输入以下命令
attrib -s -h -r -a U盘盘符:\autorun.inf
type U盘盘符:\autorun.inf
察看autorun.inf文件，看open=后面的文件是什么, 这个就是病毒文件
然后运行下面命令
attrib -s -h -a -r U盘盘符:\病毒文件全名
del U盘盘符:\autorun.inf
del U盘盘符:\病毒文件全名
删除结束

用冰刃删除
打开冰刃，选择文件，查看U盘盘符，删除autorun.inf文件 和不认识的EXE文件和文件夹（不是你考到U盘里面的）K¯ÀOý>˜Óbbs.ikaka.comÎÞÌkpÖÆýQ

硬盘上 所以的 autorun.inf sxs.exe文件全删除了  注册表的 sxs.exe 键值也删除了 可是没有用 重起后 还是有

以前的06版可以杀掉sxs.exe文件的，可现在我把感染的U盘放到07版的 机器上 都检测不到病毒。。。汗K¯ÀOý>˜Óbbs.ikaka.comÎÞÌkpÖÆýQ

你中了橙色八月
下载专杀工具K¯ÀOý>˜Óbbs.ikaka.comÎÞÌkpÖÆýQ

首先，要显示隐藏文件

　　在这个:HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\

　　Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1

　　还是没有用，隐藏文件还是没有显示，仔细观察发现病毒它有更狠的招数:它在修改注册表达到隐藏文件目的之后，为了稳妥起见，把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0(如图)!这样你以为把0改为1就会万事大吉，可是故障依旧如此!也就难怪出现以上的现象了。

　　正确的方法是:先检查CheckedValue的类型是否为REG_DWORD，如果不是则删掉“李鬼”CheckedValue(例如在本“案例”中，应该把类型为REG_SZ的CheckedValue删除)。然后单击右键“新建”--〉“Dword值”，并命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”。

　　经过刚才一番操作，我的电脑里的隐藏文件可以看到了，假如上述方法无效，那么可能是 HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden的数据丢失或损坏，遇到这种情况，请在Windows XP安装光盘中找到Hidden.reg，双击它，然后单击“确定”按钮，将该完整的注册表数据添加到当前系统的注册表中即可。(备注:可是我手头上的XP安装光盘找来找去都没有这个东西，假如你不幸遇到这种情况，可以尝试使用这种方法:找一部没有问题的电脑，把

　　HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden这个分支导出(假如命名为1.reg);然后备份有问题的电脑的该注册表分支;最后把1.reg导入看能否解决问题。我没试过所以不知道会不会出现什么意外，祝各位好运!假如某人能够在XP安装光盘里找到这个东西，请把文件里面的内容复制到评论里面，并且注明该XP安装光盘有没有打过SP1或者是SP2，谢谢!)

　　我看到在我的D:E:F:这些盘中(除了c盘)都出现了autorun.inf和sxs.exe两个文件，删除又再生.而且U盘插进去也出现这两个文件。此时杀毒软件一直是无法启动，我把金山的换成江民的，还是没用，看来是病毒限制了杀毒软件的运行，所以首先要把病毒的自动运行关掉，我也找了网上的资料，不过我试了，没有用，找不到rous.exe,我提供给你们，自己去试一下看看!

　　你这是修改过的ROSE病毒

　　可以结束SXS的进程删除，记住，用鼠标右键进入硬盘

　　同时按下Ctrl+Shift+Esc三个键 打开windows任务管理器

　　选择里面的“进程”标签

　　在“映像名称”下查找“sxs.exe” 但击它 再选择“结束进程”

　　一定要结束所有的“sxs.exe”进程

　　打开我的电脑 单击 工具菜单下的“文件夹选项”

　　单击“查看”标签 把“高级设置”中的

　　“隐藏受保护的操作系统文件(推荐)”前面的勾取消

　　并选择下面的“显示所有文件和文件夹”选项

　　单击“确定”

　　用鼠标右键点C盘(不能双击!) 选择 “打开”

　　删除C盘下的 “autorun.inf”文件 和“sxs.exe”文件

　　用鼠标右键点D盘 选择 “打开”

　　删除D盘下的 “autorun.inf”文件 和“sxs.exe”文件(另外有个文件也是，是个.exe 同样删了它)

　　……

　　以此类推 删除所有盘上的 AUTORUN.INF文件 和“rose.exe”文件

　　单击开始 选择“运行” 输入 "regedit"(没有引号) ，回车

　　依次展开注册表编辑器左边的 我的电脑>HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

　　删除Run项中的 ROSE (c:\windows\system32\SXS.exe)这个项目

　　关闭注册表编辑器

　　然后重新启动计算机

　　删除硬盘上是ROSE:

　　按下shift键不放 插入U盘 直到电脑提示“新硬件可以使用”

　　打开我的电脑

　　这时在U盘的图标上点鼠标右键 选择“打开” (不要点自动播放或者是双击!)

　　删除 SXS.exe和autorun.inf文件 病毒就没有了

　　上面我说了这个方法对我没有用!sxs.exe没有专杀,现在只能通过注册表杀毒

　　打开注册表“regedit”,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　有些网友说删除Run项中的 ROSE (c:\windows\system32\SXS.exe)这个项目

　　我找了一下没找到这个Run项目，但是我看了一下在Run里面有两个"SoundMam"，而且后面给的数值不一样，一个给的是“C:\\WINDOWS\\system32\\SVOHOST.exe”另一个是“SOUNDMAN.EXE”我想大家也发现了，肯定有问题，我看了一下，只有后面一个是正确的，前一个是豪杰超级解霸的“自动播放伺服器”的程序，看来病毒是加到这个里面了，借助自动播放到处传播!(这是我认为的，不知道对不对)于是就删除了这个项，退出注册表，打开杀毒软件，可以使用了，只是在一般杀毒时，还是找不到sxs.exe的，我用的是江民的，他有未知病毒扫描，在那里里面可以发现的，他是一种“硬盘蠕虫病毒”，删掉就行了，本来我是想截屏给大家看看的，可惜我重启了，没复制下来，哪位朋友补充一下在下面!感谢!

　　那还剩下autorun.inf，直接到各个硬盘删就可以了，再清空回收站就可以了，其他的都正常了，可能还有些网友系统可能出现些问题，如豪杰超级解霸的“自动播放伺服器”不能使用了，我的建议是:不要用了，就是他坏的事!要是你非要用就重新装吧!最后重新启动，可以了!

K¯ÀOý>˜Óbbs.ikaka.comÎÞÌkpÖÆýQ

没用  橙色八月下过了。。。把被感染的 U盘 放到 装瑞星2007的电脑上 都查不出来K¯ÀOý>˜Óbbs.ikaka.comÎÞÌkpÖÆýQ

橙色八月专用提取清除工具下载地址：
http://it.rising.com.cn/Channels/Service/2006-08/1154786729d36873.shtmlK¯ÀOý>˜Óbbs.ikaka.comÎÞÌkpÖÆýQ

橙色八月专用提取清除工具下载地址：
http://it.rising.com.cn/Channels/Service/2006-08/1154786729d36873.shtmlK¯ÀOý>˜Óbbs.ikaka.comÎÞÌkpÖÆýQ

手动删除“sxs.exe病毒”方法：

在以下整个过程中不得双击分区盘，需要打开时用鼠标右键——打开

一、关闭病毒进程

Ctrl + Alt + Del 任务管理器，在进程中查找 sxs 或 SVOHOST（不是SVCHOST，相差一个字母），有的话就将它结束掉

二、显示出被隐藏的系统文件

运行——regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1

这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）

方法：删除此CheckedValue键值，单击右键 新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示

三、删除病毒

在分区盘上单击鼠标右键——打开，看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件，将其删除。

四、删除病毒的自动运行项

打开注册表 运行——regedit

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

下找到 SoundMam 键值，可能有两个，删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的

最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe

重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了。

五、后续

杀毒软件实时监控可以打开，但开机无法自动运行

最简单的办法，执行杀毒软件的添加删除组件——修复，即可

补充：发现许多朋友都碰到这个病毒，回头来将本文重新补充了下，希望对各位有用。
2006-8-19

2006-8-23 补充更新

瑞星已出了专杀工具，不幸中此病毒的朋友可以去下面地址，下载“橙色八月专用提取清除工具”

http://it.rising.com.cn/Channels/Service/2006-08/1154786729d36873.shtmlK¯ÀOý>˜Óbbs.ikaka.comÎÞÌkpÖÆýQ